Le Règlement général sur la protection des données (RGPD) ou General Data Protection Regulation (GDPR) et le California Consumer Privacy Act (CCPA, Loi californienne sur la confidentialité des consommateurs) sont des ensembles de lois sur la confidentialité en ligne que tous les propriétaires de sites Web doivent connaître et respecter. Il définit des règles spécifiques sur le traitement des données personnelles, y compris la collecte, le stockage et la suppression.
Le RGPD peut fortement affecter les données des utilisateurs que vous collectez sur le site Web et la façon dont vous les gérez. Dans cet article de blog, je voudrais expliquer comment Google Tag Manager côté serveur peut aider à adapter le suivi aux exigences du RGPD.
Le RGPD est un ensemble de règles qui limitent les informations sur les sites Web des utilisateurs qui peuvent être collectées, la manière dont ils doivent les gérer, les stocker et les traiter. Cet ensemble de règles est organisé en 99 articles individuels des lois RGPD.
Le RGPD est entré en vigueur le 25 mai 2018. Cependant, les grands principes des lois RGPD restent les mêmes dans tous les pays européens, et chaque pays a le droit de le modifier en fonction de ses besoins. C'est pourquoi vous devez être conscient des aspects du RGPD dans votre pays.
Il est important de comprendre que les règles du RGPD s'appliquent également à vous si vous avez une entreprise et un site Web en dehors de l'UE (disons aux États-Unis ou en Asie). Vous devez toujours vous conformer aux règles du RGPD si un utilisateur visite votre site depuis un pays européen.
Le point principal dont parlent les règles du RGPD est l'utilisation des données personnelles. Il décrit quand et comment les propriétaires de sites Web peuvent collecter des données personnelles, les stocker et s'ils sont autorisés à les transférer à des tiers.
Bien que chaque pays ait le droit de modifier la définition des informations personnelles identifiables (PII), le nom, l'adresse, l'e-mail, l'adresse IP ou même les cookies d'un utilisateur peuvent être considérés comme des PII. En plus, les données sur la santé, les préférences religieuses et politiques des utilisateurs peuvent également être des PII.
Bien que l'objectif principal de RGPD, ePrivacy et CCPA était d'empêcher les grandes sociétés de publicité (comme Google ou Facebook) de vous profiler sur différents sites Web et de protéger la confidentialité des utilisateurs, le plus souvent, les petites entreprises ont commencé à recevoir des notifications ou des amendes pour non-respect de la politique RGPD .
1. Consentement aux cookies
Web Google Tag Manager a récemment publié une fonctionnalité de mode de consentement. Cette fonctionnalité est toujours en version bêta, ce qui signifie que nous pouvons nous attendre à de nombreuses améliorations et modifications dans un avenir proche. Lorsque le mode de consentement est activé, Google vérifie le statut de consentement des utilisateurs et réagit en conséquence. En fonction de l'utilisateur sélectionné sur votre bannière de cookies, Google comprendra si GTM peut définir des cookies.
Le mode de consentement Web de Google Tag Manager doit fonctionner avec la plateforme de gestion des consentements (CMP - consent management platform). L'objectif principal de CMP est de permettre aux utilisateurs de sélectionner les cookies qu'ils autorisent le site à utiliser. La plupart des CMP populaires ont une intégration avec le mode de consentement Web GTM. Cela signifie qu'ils bloquent automatiquement les cookies et les traceurs jusqu'à ce que l'utilisateur donne son consentement.
Il existe plusieurs exigences différentes pour la bannière de cookies, et chaque pays a ses ajustements. Par exemple, le gouvernement allemand exige que vous utilisiez une couleur pour tous les boutons. Vous ne pouvez pas rendre le bouton "Autoriser les cookies" vert alors que le bouton de blocage est blanc, ce qui rend plus naturellement correct d'appuyer sur le bouton vert.
Une autre exigence pour une bannière de cookies est qu'un utilisateur puisse facilement naviguer sur votre site Web sans cliquer sur aucun bouton de la bannière de cookies. Une autre mise à jour récente essentielle indique que vous devez conserver les logs des décisions de consentement des utilisateurs.
2. Consentement promotionnel par e-mail
Dans la plupart des cas, il existe deux types d'e-mails : promotionnels et strictement nécessaires. Vous n'êtes pas autorisé à envoyer des e-mails promotionnels aux utilisateurs sans leur consentement.
Par exemple, vous pouvez envoyer l'événement à votre logiciel de marketing par e-mail lorsqu'un utilisateur existant accepte de recevoir du matériel de vente et de promotion. Vous pouvez utiliser le Web Google Tag Manager pour identifier les utilisateurs qui ont accepté de recevoir des e-mails promotionnels. D'autre part, si un nouvel utilisateur souhaite recevoir un e-mail marketing, Web GTM n'aidera pas car la plupart des plates-formes logicielles de messagerie ne permettent pas de créer de nouveaux utilisateurs dans leurs systèmes à partir du Web. Vous ne pouvez le faire que via le backend ou le serveur GTM.
GTM côté serveur vous donne un meilleur contrôle sur le flux de données que chaque fournisseur reçoit. Le scénario idéal de fonctionnement du serveur GTM : vous avez un flux de données dans le Web GTM qui fournit des données au serveur GTM. Par exemple, vous pouvez utiliser Google Analytics 4 pour envoyer des données au conteneur du serveur. Le serveur GTM traite les requêtes GA4 et les mappe dans les données d'événements à l'intérieur du sGTM. Vous pouvez ensuite utiliser les données de cet événement et les requêtes HTTP pour envoyer des informations supplémentaires à des outils tiers.
Server GTM n'a pas fait l'objet d'un consentement, similaire au Web GTM. Vous devez mettre en place une plateforme de gestion des consentements et l'intégrer au Web Google Tag Manager. Le mode de consentement de Web GTM contrôlera les informations que GA4 collecte et envoie en fonction du consentement de l'utilisateur. Si l'utilisateur n'accepte pas l'utilisation de cookies, Google Analytics 4 fonctionnera en mode restreint et ne lira ni n'écrira de cookies marketing.
Lorsqu'un utilisateur ne consent pas à configurer des cookies marketing, Google Analytics enverra toujours des demandes au conteneur du serveur, ce qui signifie que vos données seront livrées et traitées dans le serveur GTM. Dans ce cas, la différence est qu'il sera interdit à GA d'écrire, de stocker ou de lire des cookies.
Ce type de demande de cookie aura un nouveau paramètre gcs qui contient le statut de consentement. Vous pouvez utiliser ce paramètre dans le serveur GTM pour enregistrer le statut de consentement.
Les règles RGPD exigent que tous les pays européens stockent leurs visites sur des serveurs situés en Europe. Lorsque vous configurez un serveur Google Tag Manager pour le site Web où se trouve votre activité principale en Europe, vérifiez d’avoir sélectionné la région d'hébergement européenne.
Lors de l'insertion de scripts de suivi Web tiers, vous ne pouvez pas contrôler strictement les informations collectées par ces scripts. Ils peuvent récupérer des données sensibles ou des identifiants personnels sans vous en informer.
Le serveur Google Tag Manager résout ce problème. Supposons que vous souhaitiez configurer le suivi côté serveur pour Facebook sans utiliser celui du Web pour empêcher FB de collecter des données indésirables à partir de votre site Web. Dans ce cas, en utilisant le serveur Google Tag Manager, vous ne pouvez envoyer que les données de site Web et d'utilisateur que vous avez configurées dans les balises Facebook du sGTM.
Vous pouvez utiliser les requêtes HTTP sortantes pour voir quelles informations ont été envoyées à Facebook. Cela empêchera FB de collecter des données de votre site Web qu'ils ne sont pas autorisés à collecter.
According to Google or Facebook policy, you can’t send personally identifiable information (PII) to these platforms. User name, email, phone number can be considered as PII.
There are two ways how sGTM can help with PII. You can either remove it before sending it to the 3rd party platforms, or you can hash PII before sending it.
If you’ve set up Facebook CAPI, then you know that some parameters are required to be hashed before sending it to the Facebook server. The same applies to GA. For example, you can hash user email before sending it to GA4, which will comply with GA privacy policy.
So if sending user data is against GA4 privacy policy and server-side GA4 is one of the most popular ways of sending data from web to server GTM, how should you approach it without violating the privacy policy regarding PII.
Nous avons plusieurs solutions :
1. Hachez les données utilisateur avant de les envoyer.
Chaque plate-forme a ses normes de hachage des données utilisateur. Google Analytics indique que vous devez utiliser SHA256 + l'utilisation d'un sel, avec un minimum de 8 caractères. Facebook nécessite également SHA256, tandis que MailChimp nécessite MD5.
Cela étant dit, vous pouvez hacher les données utilisateur dans le Web GTM avant de les envoyer à un fournisseur. Des modèles personnalisés sont disponibles dans la galerie Web GTM pour hacher les données utilisateur qui simplifient le hachage.
2. Utilisez un faux identifiant Google Analytics 4
Certaines personnes utilisent un véritable identifiant Google Analytics 4 pour suivre les événements, tandis que le faux identifiant GA4 n'est utilisé que pour fournir des données au conteneur du serveur. Cela empêchera leur propriété GA4 principale d'être bloquée pour non-respect de la politique GA.
3. Utiliser Data Tag/Data Client
Vous pouvez utiliser un Data Tag/Data Client pour envoyer des informations au serveur GTM. Et puis, à l'intérieur du serveur, le hachage GTM avait besoin de données avant de les envoyer au fournisseur.
Non seulement les données utilisateur (comme l'e-mail ou le numéro de téléphone) peuvent être considérées comme PII. Nous avons un client qui fait de la publicité pour du matériel médical sur Facebook. Ils ont les noms des dispositifs médicaux et parfois des maladies dans les URL. Facebook a commencé à se plaindre d'envoyer des informations sur la santé des utilisateurs (considérées comme PII) à Facebook, ce qui est contraire à la politique de FB. FB a également informé que leur compte pourrait être restreint de la publicité s'ils ne supprimaient pas les données de santé de l'URL.
À l'aide de Server GTM, vous pouvez modifier l'URL d'un site Web avant de l'envoyer à un fournisseur. Vous pouvez couper les paramètres de l'URL ou remplacer n'importe quel mot-clé de l'URL par le mot-clé requis.
1. Tout d'abord, sélectionnez et configurez une plateforme de gestion des consentements. Pour stape.io, nous utilisons cookiebot car il possède toutes les fonctionnalités requises par RGPD, un prix raisonnable et une intégration avec le mode de consentement dans le Web GTM. Je vais utiliser cookiebot dans ce tutoriel. Certaines étapes d'intégration peuvent être différentes si vous utilisez une autre CMP, mais la logique doit être la même.
2. Configurez un conteneur de serveur Google Tag Manager.
3. Configurez Google Analytics côté serveur 4.
4. Configurez une balise CMP dans le Web GTM. Il est très probable, vous trouverez votre balise CMP dans la galerie de modèles Web GTM. Dans mon cas, j'ai ajouté une balise cookie bot de la galerie -> créé une nouvelle balise -> ajouté un ID et défini l'état de consentement par défaut. Cette balise doit se déclencher sur le déclencheur d'initialisation du consentement.
5. Dans le Web GTM, il existe des balises avec des contrôles de consentement intégrés (principalement les produits de Google, tels que Google Ads, Google Analytics et Floodlight). Le principal avantage est que ces balises réagissent automatiquement au comportement de consentement et ajustent leurs actions. Aucune configuration supplémentaire n'est nécessaire.
Sachez que vous devrez configurer les configurations supplémentaires pour les balises qui ne prennent pas en charge les contrôles de consentement intégrés. Il es très probable, vous devrez utiliser les événements personnalisés dans GTM pour cela. En plus de configurer les paramètres de consentement.
6. L'étape suivante consiste à configurer ou à modifier une balise de configuration GA4 dans le conteneur Web GTM. Pour le faire, accédez aux paramètres avancés (Advanced Settings) -> Paramètres de consentement (Consent Setting) -> activer Aucun consentement supplémentaire requis (No additional consent required). Modifiez cette balise pour qu'elle se déclenche sur la balise d'initialisation du consentement.
7. Ouvrez les aperçus GTM Web et serveur et testez GA4 car vous êtes un utilisateur qui n'a rien sélectionné sur la bannière des cookies ou qui a refusé les cookies. Dans le serveur GTM, vous devriez voir gcs=G100 dans les requêtes GA. Le paramètre Gcs indique l'état du consentement et gcs=G100 signifie que l'utilisateur n'a donné aucun consentement.
8. Testez GA4 car vous êtes un utilisateur qui autorise les cookies. Dans ce cas, dans les requêtes du serveur GA4, vous devriez voir gcs=G111.
9. Supposons que vous souhaitiez configurer une balise dans le conteneur sGTM qui ne se déclenche pas lorsqu'un utilisateur refuse le stockage des cookies. Dans ce cas, créez une nouvelle variable avec le type Paramètre de requête et ajoutez gcs. Après cela, vous pouvez créer un déclencheur qui empêche la balise de se déclencher lorsque gcs=G100, cela signifie que l'utilisateur a refusé le consentement.
A l'aide du Web Google Tag Manager, vous pouvez vous adapter plus facilement aux règles RGPD. Vous devez choisir parmi divers systèmes de gestion du consentement ou utiliser une solution personnalisée, puis l'intégrer à votre GTM Web, afin que les droits de confidentialité en ligne des utilisateurs soient correctement protégés tout en permettant aux entreprises d'utiliser les cookies nécessaires pour offrir une expérience transparente.
Pour l'instant, le serveur GTM n'a pas de mode de consentement intégré, mais vous pouvez utiliser les requêtes GA pour lire l'état du consentement à partir du Web GTM. GTM refuse la configuration et la lecture de cookies avec un mode de consentement actif, tandis que les requêtes GA seront toujours traitées.
Serveur GTM vous permet de contrôler strictement les données que vos fournisseurs ont collectées. Contrairement au suivi du navigateur, où vous ne pouvez pas être sûr à 100 % des informations contenues dans le script, côté serveur, seules les données que vous avez configurées seront transmises au fournisseur tiers. Pas seulement cela aide à protéger votre site contre les scripts indésirables, mais cela l'accélérera également car aucun travail ne sera effectué dans le navigateur de l'utilisateur puisque toutes les mains seront localisés côté serveur.
Avec le suivi côté serveur, vous pouvez facilement modifier et hacher les PII avant de les envoyer à des outils tiers, c’est plus que tout simplement sauver votre site Web de la violation de données.
Si vous cherchez un moyen de rationaliser les performances de votre site Web et de sécuriser les données des utilisateurs, le suivi côté serveur c’est ce qui devrait être sérieusement envisagé. Nous pouvons vous aider à mettre en place un suivi côté serveur pour n'importe quel site Web!
Il suffit de répondre à quelques questions simples. Cliquez sur Obtenir un devis, remplissez le formulaire, et nous vous enverrons un devis.